Ⅰ 감사개요 1. m, m (K-CRM 1) ) 12,808 (,, ). 2. m - : (5 ) - ; (9 ) m : m : 10 ( 5 ) m : 5 1) K-CRM (Kosha Knowledge-Cus

Similar documents
개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

개인정보처리방침_성동청소년수련관.hwp

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

Zentralanweisung


개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A728BFCDC0CCBFA1BDBAC0E5292E687770>

개인

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

슬라이드 1


<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

신광초등학교는개인정보보호법에따라이용자의개인정보보호및권익을보호 하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은 처리방침을두고있습니다. 제 1 조. 개인정보의처리목적및항목 개인정보는다음의목적을위해처리합니다. 처리한개인정보는다음의목적이외의 용도로는사용되지않으며이

어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -

Zentralanweisung


중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

[ 목차 ]

제2조 ( 개인정보의처리및보유기간 ) 1 관세청은법령에따른개인정보보유 이용기간또는정보주체로부터개인정보를수집시에동의받은개인정보보유 이용기간내에서개인정보를처리 보유합니다. 2 각각의개인정보처리및보유기간은다음과같습니다. 1. 민원사무처리 : 민원처리종료후 3년 2. 정보통신

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

슬라이드 1

슬라이드 1

1. 상수도사업본부 개인정보 처리방침(내용_ ).hwp

< Personal Information Handlers’ Privacy Policy on Processing (Handling) of Personal Information>

슬라이드 1

외이용등의목적, 목적외이용등을한개인정보의항목 제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 부산지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : (

제공, 4대보험등법정보험의가입과근로기준법기타고용관계관련법령의준수, 균등한처우및기회제공, 보훈대상자확인및처우제공, 외국인근로자관련법령준수등회사에부과되는법적ㆍ행정적의무준수 E. 보안유지, 향상및점검 F. 향후회사영업의전부또는일부양도 ( 회사가포함된그룹의영업이양도되는경우포함

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인

회사가추론할수있는개인정보또는정보주체를아는를통해얻은개인정보를 처리하기도합니다. 3) 회사는정보주체가제공한개인정보를상기의목적범위내에서이용하여야합니다. 다만, 다음의경우에는예외적으로목적범위를초과하여이용할수있습니다. 1 정보주체로부터별도의동의를받는경우 2 법률에특별한규정이있는

슬라이드 1

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 서울지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : ( 재 ) 우체국시설관리단 2. 소포배달을위한업

Microsoft PowerPoint - 6.pptx

옹진군개인정보보호내부관리계획 번호개정연월내용비고 개인정보보호내부관리계획수립 제 6 조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) - 부서장또는면 직속기관의장을분야별책임자로지정 제

I. 개인정보보호의현주소및개인정 보보호법의주요내용 2

I. 개인정보보호의현주소및개인정 보보호법의주요내용 2

제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요 차 적용대상 : 뉴미디어서비스제공자및뉴미디어서비스이용자 - 뉴미디어서비스제공자 ( 이하 서비스제공자 라한다 ) 란정부통합전산센터 ( 클라우드컴퓨팅서비스 ), 다음 ( 마이피플 ), 네이버 ( 미투데이

120330(00)(1~4).indd

한국교육개발원 주민등록번호, 학번, 성명, 국적, 학적변동일자, 전공, 입학정보, 학위번호, 졸업일자, 이메일, 출신고교 졸업생관리 년 1 회 병무청이름, 주민등록번호, 연락처, 주소, 직업, 군번, 복무사항예비군자원관리년 1 회 국가평생교육진흥원주민등록번호, 성명,

<C7D0BCFAC1A4BAB8BFF820C7D0BCFAC1A4BAB8BCADBAF1BDBA20B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

- 전화로고객의소리수집 04. 개인정보의보유및이용기간회사가수집한이용자의개인정보는아래에명시한기간동안처리및보유후파기합니다. ㆍ비공개게시판, 고객상담전화를통해수집한문의자정보 - 보유기간 : 문의후 5 년 - 보유근거 : 회사내부방침ㆍ이용기간 원칙적으로, 개인정보수집및이용목적

목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 )

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

명동예술극장 개인정보 처리방침

회사는개인정보를다음의목적을위하여처리합니다. 처리한개인정보는다음의목적이외의 용도로는사용되지않으며이용목적이변경될시에는사전동의를구할예정입니다. 상품 ( 서비스포함 ) 제공, 컨텐츠제공, 물품배송또는청구서등의발송, 구매및결제, 정산및추심, AS, 회원가입및가입상담, 변경및해지

주식회사조비는 ( 이하 회사 라한다 ) 고객님의개인정보보호를모든업무절차의필수요소로 고려하고있으며, 개인정보보호법등관련법령상의개인정보보호규정을중시하고이를준수하 기위하여항상노력하는자세를견지하고있습니다. 회사는고객님의개인정보보호및권익을보호하고개인정보와관련한고객님의고충을원활하

김포시종합사회복지관개인정보보호관리지침 제정일 제 1 장총칙 제 1 조 ( 목적 ) 김포시종합사회복지관개인정보보호관리지침은개인정보보호법제29조 ( 안전조치의무 ) 내부관리계획의수립및시행의무에따라제정된것으로김포시종합사회복지관을이용하는이용자, 근로자, 후원자

2015

분야 1. 개인정보의처리 ( 수집 이용 제공등 ) 점검지표점검항목판단기준 1.1 개인정보의수집 이용 진료 ( 조제 복약 ) 목적외로서면가입 ( 오프라인 ) 홈페이지 ( 온라인 ) 등을통한회원가입시동의는받고있는가? Seq: 1 서면및홈페이지등을통한회원가입 (

PowerPoint 프레젠테이션

진흥원은개인정보처리방침을변경하는경우에는시행의시기 변경된내 용을정보주체가쉽게확인할수있도록변경전 후를비교하여공개하 도록합니다 제 조 개인정보의처리목적 진흥원 산업정보종합시스템 은다음의목적을위해개인정보를처리합니다 처리하고있는개인정보는다음의목적이외의용도로는사용되지않으며 이용목

목 차 Ⅰ 개인정보보호법주요내용 Ⅱ I-PIN, My-PIN 활용 Ⅲ 개인정보보호를위한사업자수칙

목차 Ⅰ. 개인정보의안전성확보조치기준 1 Ⅱ. 개인정보의안전성확보조치기준해설 9 [ 제1조 ] 목적 10 [ 제2조 ] 정의 12 [ 제3조 ] 안전조치기준적용 26 [ 제4조 ] 내부관리계획의수립 시행 28 [ 제5조 ] 접근권한의관리 41 [ 제6조 ] 접근통제 4

목 차 참고및유의사항 관리실태조사관련 시스템접속 기관현황등록 자체점검 용어의정의 세부항목별점검방법 기관현황및점검결과수정

제 장 의설치 운영 제 조 관리범위및체계 설치 운영 민원접수 처리 화상정보의수집 처리등의업무를총괄하는부서는시설관리담당부서로한다 운영에관한총괄책임자는시설관리담당부서장으로하고 총괄책임자는운영담당자를지정하여관리하도록한다 운영담당자는화상정보의열람 재생등의업무를수행한다 제 조

개인정보의안전성확보조치기준해설서 본기준해설서는 개인정보보호법 에따라개인정보처리자가개인정보의안전성확보를위해이행해야할기술적 관리적보호조치등의세부기준제시를목적으로합니다.

개인정보의 안전성 확보조치 기준 해설서

< FBFACBECFB0F8B0FAB4EBC7D0B1B320B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

2018년 10월 12일식품의약품안전처장

개인정보파일명제공목적제공근거 개인정보를 제공받는기관 제공받는 기관의 보유. 이용기간 개인정보 제공부서 국가장학금및학자금지원 한국장학재단설립등에관한법률제 50 조한국장학재단설립등에관한법률시행령제 36 조의 2) 한국장학재단 10 년장학취업팀 인사정보연말정산소득세법제 14

07. 개인정보의파기에관한사항 1. 1 파기절차 o - 수집한개인정보는정보주체의탈퇴또는삭제요청이있을시별도의 DB 또는 DB 내별도의테이블로옮겨져 ( 종이의경우별도의서류함 ) 보유기간동안저장된후파기됩니다. o - 동개인정보는법률에의한경우가아니고서는보유되는이외의다른목적으로

개인정보처리방침 (FC 부문 ) 한화호텔 & 리조트 는 ( 이하 회사 라함 ) 고객의개인정보를소중히다루며 개인정보보호법, 정보통신망이용촉진및정보보호등에관한법률 등개인정보관련법규를준수하고있습니다. 본방침은개인정보처리에관한사항을담고있습니다. 법령의제 개정이나회사의운영방침에

목 차 1. 개인정보보호법 2. 개인정보보호법시행령 3. 개인정보보호법시행규칙 4. 정보통신망이용촉진및정보보호등에관한법률 5. 정보통신망이용촉진및정보보호등에관한법률시행령 6. 정보통신망이용촉진및정보보호등에관한법률시행규칙 7. 전자금융거래법 8. 전자금융거래법시행령 9.

구분수집 이용하려는항목개인정보의수집 이용목적보유및이용기간 형제관계및연락처, 사항을 학적사항, 사회자, 주례자 위한의사소통경로확보 등 예식진행관련연락처 고객의소리접수 필수성명, 성별, 이메일, 연락처 불만처리, 본인의사확인등원활한의사소통경로확보 접수후 3 년까지 급식위탁

슬라이드 1

2. 개인정보의처리목적 'DASAN' 은 ( 는 ) 개인정보를다음의목적을위해처리합니다. 처리한개인정보는다음의 목적이외의용도로는사용되지않으며이용목적이변경될시에는사전동의를구할예 정입니다. 가. 입사지원및인재등록 - 서류전형또는면접전형의기초자료로사용됩니다. 나. 기술지원 -

제2조 ( 처리하는개인정보의항목등 ) 진흥원이 SW산업정보종합시스템의회원가입, 각종서비스제공을위해 개인정보보호법 32조에따라등록ㆍ공개하는개인정보파일의처리목록은다음과같습니다. 1. 진흥원 SW산업정보종합시스템에서회원가입, 각종서비스제공을위해처리하는개인정보의항목및수집방법은

?.? -? - * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1,

처리하는모든개인정보는개인정보보호법등관련법령상의개인정보보호규정을준수하여수집 보유 처리되고있습니다 진흥원은개인정보보호법에따라이용자의개인정보및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다 진흥원은 소프트웨어산업진흥법 제 조 소프트웨

슬라이드 1

<4D F736F F D205BBAB0C3B72E315D20B0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A72E646F63>

중앙승가대학교개인정보처리방침 중앙승가대학교 ( 이하 본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를보호하 고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정 보처리방침을수립 공개합니다. 제 1조 ( 개인정보의처리목적 ) 본교는다음의목적을위하여

<555342B8DEB8F0B8AE20B5EE20BAB8C1B6B1E2BEEFB8C5C3BC20B0FCB8AEC1F6C4A72E687770>

복지분야 개인정보보호 실무교육

개인정보 처리방침

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

목 차 목 차 Ⅴ. 개인정보보호의처리단계별 기술적 관리적안전조치 16 Ⅰ. 총칙 1 1. 목적 1 2. 적용범위 1 3. 용어정의 1 4. 개인정보보호원칙 3 Ⅱ. 내부관리계획의수립및시행 5 1. 내부관리계획수립및승인 5 2. 내부관리계획의공표 5 Ⅲ. 개인정보보호책임

개인정보보호법령준수를위한개인정보처리시스템이행사항 - 개인정보처리시스템? 개인정보가취급되는홈페이지및 DB 시스템 ( 작은범위의의미에서는개인정보취급자의 PC 도포함될수있음 ) 제 15 조 ( 개인정보의수집 이용동의 ) 1. 온 오프라인회원가입시동의여부개인정보를별도수집하는경

내부정보관리규정

슬라이드 1

학부모서비스신청자명단 교육기본법제 23 조의 3 학부모의자녀정보열람 기타 ( 학부모성명, 학부모생년월일, 이메일, 전화번호, 주소, 자녀성명, 생년월일, 신청자와의관계 ) 회원탈퇴시까지 (2 년 ) 온라인 학교생활기록부 초중등교육법제 25 조, 학교생활기록작성및관리지침

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

(Microsoft PowerPoint - privacy_learn_5.ppt [\310\243\310\257 \270\360\265\345])

개인정보란? 개인위치정보란? 1 2 서비스기획및 UX 담당자를위한가이드라인 본론으로들어가기전에여기서잠깐! 개인정보란? 개인위치정보란? 이용자의개인정보및프라이버시보호는서비스기획단계부터반영이되어야합니다. 개인정보란생존하는개인에관한정보로서성명, 주민등록번호등에의하여특정개인을

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

개인정보처리방침

CONTENTS Ⅰ 가이드라인개요 6 Ⅱ 기본원칙 10 Ⅲ 개인정보처리단계별원칙 개인 ( 신용 ) 정보수집 개인 ( 신용 ) 정보이용 개인 ( 신용 ) 정보제공 고유식별정보및민감정보의처리 개인 ( 신용 ) 정보처리업


사이버 보안과 개인정보 보호

위탁업체변경시현촌유치원은기관홈페이지 ( 공지사항및개인정보처리방침을통해 고지하도록하겠습니다. 제4조정보주체의권리, 의무및행사방법정보주체는개인정보주체로서다음과같은권리를행사할수있습니다. 1. 자신및 14세미만아동의개인정보의조회, 수정및가입해

개인정보처리방침 Ver 개인정보처리방침 ( 주 ) 실리콘웍스 ( 이하 ' 회사 ' 라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를보호하고개인정보가 어떠한용도와방식으로이용되고있으며, 개인정보보호를위해어떠한조치를취하고있는지알려드립니다. 회사는관련 법

Transcription:

특정감사결과보고서 - 개인정보등내부정보관리실태 - 2012. 6.

Ⅰ 감사개요 1. m, m (K-CRM 1) ) 12,808 (,, ). 2. m - : 2012.05.07 05.11.(5 ) - ; 2012.05.21 06.01.(9 ) m : m : 10 ( 5 ) m : 5 1) K-CRM (Kosha Knowledge-Customer Relation Management) : 고객계층별차별화된안전보건서비스를제공하고 공급자중심 에서 수요자중심 의양방향서비스체계로고객만족극대화를위한고객만족경영의일환으로구축 - 1 -

3. m m ( ) 4. m 66* (13,551,472 ) 파일명 대상인원 비고 산업재해자 2,712,010 주민번호포함 특수건강진단결과 7,943,444 주민번호, 개인건강등민감정보포함 인터넷 통신교육수료자 445,542 홈페이지 445,991 주민번호포함 m (,, ) m (CCTV) m K-CRM (DB) m - 2 -

Ⅱ 감사주요지적사항 1. m 3 18 1 m (2011.3.29.) 12,808 12,806, - 2 2) 근로자건강증진활동지원신청서양식개선필요 ( 개인정보수집동의포함 ) m 26 ( ) m 3 2) 개인정보보유및이용기간, 동의를거부할권리및거부에따른불이익이있을경우불이익의내용에대해동의누락 - 3 -

m - K-CRM 2 3), 4) 1, - K-CRM - m - K-CRM 2 - PC, PF,, m - 34,, -,, 79 - 정보유출시후속조치매뉴얼을제작 배포필요 ( 정보시스템 ) 3) 나누리메일및매뉴얼제공등을통해 2 회교육한사실은객관적으로확인가능, 그외수시로멘토및동료등이 KCRM 교육을시켰다는내용은관련자 ( 당사자및팀장, 동료등 ) 문답을통해확인. 4) ERP 메일및부서회의근거를통해개인정보보호교육을 1 회실시한사실확인가능, 그외수시로팀장및동료등이교육을시켰다는내용을관련자 ( 당사자및팀장, 동료등 ) 문답을통해확인 - 4 -

m, `12.4.23. ( ), - 65 m. 2. 개인정보의수집동의없이수집. 개인정보파일보유근거미약. m 1, 2, 3, -,, 공단사업의종류에따라정보주체의동의를받고수집산업안전보건법에개인정보수집근거를명확히하고, 개인정보항목최소수집원칙적용 - 5 -

(DB) 관리개인정보파일과실제보유개인정보파일수상이등록된개인정보파일관리항목과보유하고있는파일관리항목상이. 개인정보파일보존기간부적정. m 69, - 124 공단에서보유하는모든개인정보파일관리 m, - (,, ), 개인정보수에대한산정방식을표준화하고, DB의내용과동일하게등록 m, - (8 ) (3 ), 법률적근거와개인정보파일보유기간책정기준표등을활용하여보유기간재산정 - 6 -

백신프로그램보유 활용미흡접근권한관리미흡. 비밀번호생성규칙미존재. 개인정보의저장매체에대한보안대책미비. 고유식별번호등암호화조치미흡. 개인정보처리시스템접속기록미관리. m PC,, - PC(1,761 ) (1,500 user), PC 162 사용 PC 전체대한백신프로그램확보및정기적업데이트에대한모니터링후공개 m,, 3, -, 개인정보파일접근자에대한기록관리 m 8, - 비밀번호자리수를제한토록프로그램보완 - 7 -

m USB, HDD,, - USB 등보조기억매체사용자식별및인증, 보조기억매체사용관련로그기록관리시스템도입 m DB, PC, -, - PC 2012.12월말까지개인정보파일내고유식별번호등은암호화실시 PC의암호화솔루션사용여부에대한모니터링실시 m,, - 로그관리시스템도입필요 - 8 -

보유기간이지난개인정보를파기하지않고계속보관. m,, - 보유기간이지난개인정보파기 3. 동의거부시불이익에대한고지누락. 주민번호 DB 수집시동의절차부재. 필수정보선택정보미구분. 아동에대한법정대리인동의절차부재. G-PIN 인증에의한회원가입불가능. m m DB - 9 -

m, m 14 홈페이지개인정보보호기능강화 m G-PIN, - G-PIN G-PIN 인증이가능하도록개선 m 2, - 2 40 재동의실시 - 10 -

4. m 4 문서 ( 계약서등 ) 상명시사항 수행목적외개인정보의처리금지에관한사항 개인정보의기술적 관리적보호조치에관한사항 개인정보에대한접근제한등안전성확보조치에관한사항 개인정보의관리현황점검및수탁자소속직원의교육에관한사항 정보시스템통합유지보수 ( ) 고객만족도조사 ( ) 월간안전보건지발송 ( ) X X X X X X X X X X X X 업무위탁시계약서에개인정보보호관련내용추가 m, -, 개인정보파일 위탁업체명 위탁내용 공개방법 홈페이지회원정보등다수 시스템유지보수 인터넷 고객만족도조사 만족도조사 미공개 안전보건월간지운영파일 배송 미공개 홈페이지에위탁업무와수탁자공개 - 11 -

m,, - ID, 담당별 ID 부여하고, 내부전산망접속기록확보 m, - 업무위탁업체에제공하는개인정보에대한이력관리실시 m, - 교육실시후근거유지 - 12 -

5. CCTV m, - / CCTV 20 기관명 대수 기관명 대수 계 28 지역본부 4 8 지역본부 3 지역본부 2 지도원 6 지역본부 4 지도원 1 산하기관용 CCTV 에대한운영방침수립및공개 CCTV m (,, ), - CCTV, 개인영상정보관리대장작성, 본부 CCTV 관리자 ( 운영지원실 ) 가실제개인영상정보관리 m, - ID, 영상정보처리시스템변경 (ID, 패스워드필수입력 ) - 13 -

m, -,,, 영상정보처리대장기록 관리 6. K-CRM m K-CRM DB DB 1,113,388, - 565,941 (50.5%), DB 명 총인원수 중복 이름미존재 이름만존재 핵심고객 676,082 200,988 20,447 176,765 통합고객 437,306 107,049 16,263 44,429 - DB 437,306 2008 77%(335,943 ) K-CRM 고객정보정리 m, - 내부직원용개인정보처리방침수립 공개 - 14 -

Ⅲ 감사결과처분요구 1. m : 3 (3 ) - ( ) 1 (1 ) : 1 (1 ) - 2 (2 ) (, ) 2. - 15 -

- 16 -

( 1) : 2-02-01 : ( ) : : : 위사람은그직무를수행함에있어다음과같이위법부당한 일이있었으므로감사규정제 16 조제 1 항제 3 호의규정에따라징계처분을 요구합니다. - - 2012.2.6. (2012.5.7.) 2012 OJT ( -474,`12.2.20.), 34 35 12,808 (,, ), - 3 18 1-17 -

- 3 - K-CRM, K-CRM,. 따라서, 위 에대하여인사규정시행규칙제 120 조 ( 징계양정의 기준 ) 제 2 항별표 4( 징계양정기준 ) 및 인턴제운영지침 제 39 조 ( 징계의종류 및효력 ) 제 3 항에따라경징계 ( 견책 ) 조치를요구한다. 한국산업안전보건공단감사 - 18 -

2-02-02 2 4 1. : 2. m 2012.2.6. (2012.5.7.) 2012 OJT ( -474,`12.2.20.), 34 35 12,808 (,, ). m ( 4 ) ( 2 ) K-CRM,, - PC PF. 3. m (2, 4 ),. [ : 5 ] 직상감독자전문직 4급 는 인사규정시행규칙 별표 5 비위행위자와감독자에대한문책기준 에따라 경고 에해당하나, 이사장의표창 (`11.12) 을받은공적이있어 주의 로감경 - 19 -

( 2) 개선요구사항 1. 1-1. m 15 ( ), 6 ( ), 법률 지침 제15조 ( 개인정보의수집ㆍ이용 ) 1 개인정보처리자는다음각호의어느하나에해당하는경우에는개인정보를수집할수있으며그수집목적의범위에서이용할수있다. 1. 정보주체의동의를받은경우 2. 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3. 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 4. 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 5. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 6. 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우. 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다. 제6조 ( 개인정보의수집 ) 2 개인정보처리자는다음각호의경우에개인정보를수집할수있으며, 그수집목적의범위에서이용할수있다. 1. 정보주체로부터사전에동의를받은경우 2. 법률에서개인정보를수집 이용할수있음을구체적으로명시하거나허용하고있는경우 3. 법령에서개인정보처리자에게구체적인의무를부과하고있고, 개인정보처리자가개인정보를수집 이용하지않고는법령에서부과하는구체적인의무를이행하는것이불가능하거나현저히곤란한경우 4. 공단이개인정보를수집 이용하지않고는법령등에서정한소관업무를수행하는것이불가능하거나현저히곤란한경우 5. 개인정보를수집 이용하지않고는정보주체와계약을체결하고, 체결된계약의내용에따른의무를이행하는것이불가능하거나현저히곤란한경우 6. 정보주체또는제3자 ( 정보주체를제외한그밖의모든자를말한다.) 의생명, 신체, 재산에대한피해를방지해야할급박한상황이어서개인정보를수집 이용해야할필요성이명백히인정됨에도불구하고정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로연락을취할수없는상황이어서사전에동의를받을수없는경우 7. 개인정보처리자가법령또는정보주체와의계약에따른정당한이익을달성하기위하여필요한경우로서명백하게정보주체의개인정보의수집 이용에관한동의여부및동의범위등을선택하고결정할권리보다우선하는경우. 다만, 이경우개인정보의수집 이용은개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는범위로한정된다. - 20 -

-,,. * 사례 1 건설업유해위험방지계획서심사등 8 건단위사업수행중 24 만건의개인정보를동의없이수집 2 교육수료자 파일보유근거로제시한 산업안전보건법 제 31 조 ( 안전보건교육 ) 등은교육업무의수행근거일뿐개인정보수집근거로부적정 3 산업재해자 파일보유근거로서 산업안전보건법 제 4 조, 시행규칙제 4 조 ( 산업재해발생보고 ), 통계법제 18 조를제시하고있으나, 고유식별번호 ( 주민번호 ) 를포함한방대한개인정보파일을보유하는근거로는미약 4 근로자건강증진활동지원신청서 2 건동의없이수집 m -,,, m, - 21 -

1-2. m 32 ( ), 33 ( ) 34 ( ), 53 62 1 1,, 법률 지침 제 32 조 ( 개인정보파일의등록및공개 ) 2 다음각호의어느하나에해당하는개인정보파일에대하여는제 1 항을적용하지아니한다. 1. 국가안전, 외교상비밀, 그밖에국가의중대한이익에관한사항을기록한개인정보파일 2. 범죄의수사, 공소의제기및유지, 형및감호의집행, 교정처분, 보호처분, 보안관찰처분과출입국관리에관한사항을기록한개인정보파일 3. 조세범처벌법 에따른범칙행위조사및 관세법 에따른범칙행위조사에관한사항을기록한개인정보파일 4. 공공기관의내부적업무처리만을위하여사용되는개인정보파일 5. 다른법령에따라비밀로분류된개인정보파일 제 54 조 ( 적용제외 ) 이장은다음각호의어느하나에해당하는개인정보파일에관하여는적용하지아니한다. 1. 법제 32 조제 2 항에따라적용이제외되는다음각목의개인정보파일가. 국가안전, 외교상비밀, 그밖에국가의중대한이익에관한사항을기록한개인정보파일나. 범죄의수사, 공소의제기및유지, 형및감호의집행, 교정처분, 보호처분, 보안관찰처분과출입국관리에관한사항을기록한개인정보파일다. 조세범처벌법 에따른범칙행위조사및 관세법 에따른범칙행위조사에관한사항을기록한개인정보파일라. 공단내부적업무처리만을위하여사용되는개인정보파일마. 다른법령에따라비밀로분류된개인정보파일 2. 법제 58 조제 1 항에따라적용이제외되는다음각목의개인정보파일가. 공단이처리하는개인정보중 통계법 에따라수집되는개인정보파일나. 국가안전보장과관련된정보분석을목적으로수집또는제공요청되는개인정보파일다. 공중위생등공공의안전과안녕을위하여긴급히필요한경우로서일시적으로처리되는개인정보파일 3. CCTV 등영상정보처리기기를통하여처리되는개인영상정보파일 4. 자료 물품또는금전의송부, 1 회성행사수행등의목적만을위하여운용하는경우로서저장하거나기록하지않고폐기할목적으로수집된개인정보파일 - 124 55, - 22 -

- 17. * 사례 1 실 퇴직자명단 개인정보파일대장미관리 2 반도체역학조사파일, 고객만족도대상리스트 미관리 ( 미등록포함 ) < 개인정보파일보유현황 > 구분 총파일 관리파일 등록파일 미관리파일 계 124 69 49 55 실 3 2 2 1 실 16 16 3 0 팀 2 1 1 1 실 4 4 4 0 실 16 8 8 8 실 9 9 5 0 실 8 7 5 1 실 17 4 4 13 실 1 1 1 0 실 6 1 1 5 팀 3 3 3 0 원 31 7 6 24 원 8 6 6 2 m - ( ) m m, - 23 -

1-3. m ( ), - (,, ), * 사례 1 원 교육수료자 파일실제관리항목 11개 (9개항목등록 ) 2 원 특수 ( 임시 ) 건강진단결과파일 정보주체수 919,155건 (7,943,444건최초등록 ) m - m DB ( ) - ( ) DB, 1-4. m 64 ( ),, - 24 -

지침 제 64 조 ( 개인정보파일보유기간의산정 ) 1 보유기간은전체개인정보가아닌개별개인정보의수집부터삭제까지의생애주기로서보유목적에부합된최소기간으로산정하되, 개별법령의규정에명시된자료의보존기간에따라산정해야한다. 2 개별법령에구체적인보유기간이명시되어있지않은경우에는개인정보보호책임자의협의를거쳐기관장의결재를통하여산정해야한다. 다만, 보유기간은별표 1 의개인정보파일보유기간책정기준표에서제시한기준과 공공기록물관리에관한법률시행령 에따른기록관리기준표를상회할수없다. 3 정책고객, 홈페이지회원등의홍보및대국민서비스목적의외부고객명부는특별한경우를제외하고는 2 년을주기로정보주체의재동의절차를거쳐동의한경우에만계속적으로보유할수있다. - * 사례 1 건설업 KOSHA 18001 심사위원현황 파일을 10년으로산정 2 원정기간행물배포처관리 의개인정보파일 ( 외부고객명단 ) 을 영구 로산정 m,, 1-5. m 29 ( ), 30 ( ) 9 ( ) PC,, - 25 -

시행령 고시 제 30 조 ( 개인정보의안전성확보조치 ) 1 개인정보처리자는법제 29 조에따라다음각호의안전성확보조치를하여야한다. 1. 개인정보의안전한처리를위한내부관리계획의수립 시행 2. 개인정보에대한접근통제및접근권한의제한조치 3. 개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 4. 개인정보침해사고발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 5. 개인정보에대한보안프로그램의설치및갱신 6. 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 제 9 조 ( 보안프로그램설치및운영 ) 개인정보처리자는악성프로그램등을방지 치료할수있는백신소프트웨어등의보안프로그램을설치 운영하여야하며, 다음각호의사항을준수하여야한다. 1. 보안프로그램의자동업데이트기능을사용하거나, 또는일 1 회이상업데이트를실시 2. 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우, 즉시이에따른업데이트를실시 - PC(1,761 ) (V3 ) 1,500, PC 162 * 사례 1 2012.4월내PC지킴이 ( 백신프로그램 ) 현황 - PC지킴이미실시 : 148대 - 취약 : 8대 - 점검불가 : 6대 m PC m - PC - 26 -

1-6. m 29 ( ), 30 ( ) 4 ( ) 3, 시행령 고시 제 30 조 ( 개인정보의안전성확보조치 ) 1 개인정보처리자는법제 29 조에따라다음각호의안전성확보조치를하여야한다. 1. 개인정보의안전한처리를위한내부관리계획의수립 시행 2. 개인정보에대한접근통제및접근권한의제한조치 3. 개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 4. 개인정보침해사고발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 5. 개인정보에대한보안프로그램의설치및갱신 6. 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 제 4 조 ( 접근권한의관리 ) 1 개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의범위로업무담당자에따라차등부여하여야한다. 2 개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야한다. 3 개인정보처리자는제 1 항및제 2 항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 3 년간보관하여야한다. 4 개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을발급하는경우, 개인정보취급자별로한개의사용자계정을발급하여야하며, 다른개인정보취급자와공유되지않도록하여야한다. - ERP 5,432,, * 사례 1 전보, 퇴직시에개인정보파일접근권한부여 삭제에대한세부기록미관리 m 3-27 -

1-7. m 29 ( ), 30 ( ) 5 ( ),, 고시 제5조 ( 비밀번호관리 ) 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다. -,. * 사례 1 1, 1111 등을비밀번호사용가능 m - 10 : (52 ), (0 9, 10 ), (32 ) 2-8 : (52 ), (0 9, 10 ), (32 ) 3-12345678,, love, happy, - - 28 -

1-8. m USB 4 6 USB, (HDD), USB, 지침 제 4 조 (USB 메모리및관리시스템도입절차 ) 1 본부실 국및각급기관의장은 USB 메모리를도입할경우그제품의안전성을검증하기위하여 전자정부구현을위한행정업무등의전자화촉진에관한법률시행령 제 34 조를준용하여노동부장관에게보안적합성검증을의뢰하여야한다. 2 노동부장관은보안적합성검증시다음각호에해당하는필수보안기능의유무를검토한후그결과를적합성검증결과에반영한다. 1. 사용자식별 인증기능 2. 지정데이터암 복호화기능 3. 저장된자료의임의복제방지기능 4. 분실시저장데이터의보호를위한삭제기능 3 제 2 항제 2 호의지정데이터암 복호화기능은자료를 USB 메모리에보관하는경우로한하며, 비밀자료를 PC 에보관하거나소통하고자할경우에는국가정보원이개발ㆍ보급한암호장비ㆍ자재등국가용보안시스템을사용하여야한다. 4 생략제 5 조 ( 보조기억매체사용 ) 1 본부실 ( 국 ) 및산하기관은보조기억매체를등록한후사용하여야한다. 2 생략제 6 조 ( 보조기억매체사용제한 ) 1 본부실 ( 국 ) 및산하기관은등록된보조기억매체만사용할수있으며업무목적이외사적인용도로사용할수없다. 다만, 공인인증서용 ( 업무용, 개인용 ) 에한하여등록후개인소지및사용을하게할수있다. 2 본부실 ( 국 ) 및산하기관의장은그소속직원에게공지 교육을통하여보조기억매체의임의사용을제한하여야하고이에대하여주기적인점검을실시하여야한다. - USB,. * 사례 1 미등록된 USB, 외장하드등을무단으로사용하더라도통제불가능 - 직원 1 인당 2 3 개의 USB 등을보유하고있는것으로추정되나, 센터권 400 여명중 21 명일반용 USB 를관리대장등록하여사용 2 보조기억매체를통한개인정보등유출시책임소재파악불가능 - USB 사용시사용자식별및사용내역을확인할수있는로그기록미관리 3 USB 메모리분실시정보유출위험상존 - 비밀용 USB 도보안 USB 가아닌일반 USB 사용 - 29 -

m - USB - - - 1-9. m 24 ( ), 30 ( ) 7 ( ) 2012.12, 법률 제 24 조 ( 고유식별정보의처리제한 ) 1 개인정보처리자는다음각호의경우를제외하고는법령에따라개인을고유하게구별하기위하여부여된식별정보로서대통령령으로정하는정보 ( 이하 고유식별정보 라한다 ) 를처리할수없다. 1. 정보주체에게제 15 조제 2 항각호또는제 17 조제 2 항각호의사항을알리고다른개인정보의처리에대한동의와별도로동의를받은경우 2. 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우 2 대통령령으로정하는기준에해당하는개인정보처리자는정보주체가인터넷홈페이지를통하여회원으로가입할경우주민등록번호를사용하지아니하고도회원으로가입할수있는방법을제공하여야한다. 3 개인정보처리자가제 1 항각호에따라고유식별정보를처리하는경우에는그고유식별정보가분실ㆍ도난ㆍ유출ㆍ변조또는훼손되지아니하도록대통령령으로정하는바에따라암호화등안전성확보에필요한조치를하여야한다. 4 행정안전부장관은제 2 항에따른방법의제공을지원하기위하여관계법령의정비, 계획의수립, 필요한시설및시스템의구축등제반조치를마련할수있다. - 30 -

고시 제 7 조 ( 개인정보의암호화 ) 1 영제 21 조및영제 30 조제 1 항제 3 호에따라암호화하여야하는개인정보는고유식별정보, 비밀번호및바이오정보를말한다. 2 개인정보처리자는제 1 항에따른개인정보를정보통신망을통하여송 수신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야한다. 3 개인정보처리자는비밀번호및바이오정보는암호화하여저장하여야한다. 단비밀번호를저장하는경우에는복호화되지아니하도록일방향암호화하여저장하여야한다. 4 개인정보처리자는인터넷구간및인터넷구간과내부망의중간지점 (DMZ : Demilitarized Zone) 에고유식별정보를저장하는경우에는이를암호화하여야한다. 5 개인정보처리자가내부망에고유식별정보를저장하는경우에는다음각호의기준에따라암호화의적용여부및적용범위를정하여시행할수있다. 1. 법제 33 조에따른개인정보영향평가의대상이되는공공기관의경우에는해당개인정보영향평가의결과 2. 위험도분석에따른결과 6 개인정보처리자는제 1 항에따른개인정보를암호화하는경우안전한암호알고리즘으로암호화하여저장하여야한다. 7 개인정보처리자는제 3 항, 제 4 항및제 5 항에따른개인정보저장시암호화를적용하는경우, 이기준시행일로부터 3 개월이내에다음각호의사항을포함하는암호화계획을수립하고, 2012 년 12 월 31 일까지암호화를적용하여야한다. 단인터넷구간및인터넷구간과내부망의중간지점 (DMZ : Demilitarized Zone) 에고유식별정보를저장하는경우위험도분석과관계없이암호화를적용하여야한다. 1. 개인정보의저장현황분석 2. 개인정보의저장에따른위험도분석절차 ( 또는영향평가절차 ) 및방법 3. 암호화추진일정등 8 개인정보처리자는업무용컴퓨터에고유식별정보를저장하여관리하는경우상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화한후저장하여야한다. -, - PC (PrivacyFinder) * 사례 1 산업재해자, 특수건강진단결과 개인정보파일의주민등록번호암호화미적용 2 일부산하기관에서암호화솔루션미설치 m 2012.12, - 31 -

m PC (PrivacyFinder) -, 1-10. m 29 ( ), 30 ( ) 8 ( ),, 고시 제 8 조 ( 접속기록의보관및위 변조방지 ) 1 개인정보처리자는개인정보취급자가개인정보처리시스템에접속한기록을최소 6 개월이상보관 관리하여야한다. 2 개인정보처리자는개인정보취급자의접속기록이위 변조및도난, 분실되지않도록해당접속기록을안전하게보관하여야한다. -. * 사례 1 ERP 내개인정보파일에접속하여개인정보등을다운로드, 출력시 IP 등추적불가능 2 SQL( 명령어 ) 문을이용하여 ERP 프로그램수정시해당기록미관리 m - -,, IP - m - 32 -

1-11. m 21 ( ), 16 ( ),, 법률 시행령 지침 제 21 조 ( 개인정보의파기 ) 1 개인정보처리자는보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때에는지체없이그개인정보를파기하여야한다. 다만, 다른법령에따라보존하여야하는경우에는그러하지아니하다. 2 개인정보처리자가제 1 항에따라개인정보를파기할때에는복구또는재생되지아니하도록조치하여야한다. 3 개인정보처리자가제 1 항단서에따라개인정보를파기하지아니하고보존하여야하는경우에는해당개인정보또는개인정보파일을다른개인정보와분리하여서저장ㆍ관리하여야한다. 4 개인정보의파기방법및절차등에필요한사항은대통령령으로정한다. 제 16 조 ( 개인정보의파기방법 ) 개인정보처리자는법제 21 조에따라개인정보를파기할때에는다음각호의구분에따른방법으로하여야한다. 1. 전자적파일형태인경우 : 복원이불가능한방법으로영구삭제 2. 제 1 호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 파쇄또는소각 제 11 조 ( 개인정보의파기방법및절차 ) 1 개인정보처리자는개인정보의보유기간이경과된경우에는정당한사유가없는한보유기간의종료일로부터 5 일이내에, 개인정보의처리목적달성, 해당서비스의폐지, 사업의종료등그개인정보가불필요하게되었을때에는정당한사유가없는한개인정보의처리가불필요한것으로인정되는날로부터 5 일이내에그개인정보를파기하여야한다. 2 시행령제 16 조제 2 호의 복원이불가능한방법 이란사회통념상현재의기술수준에서적절한비용이소요되는방법을말한다. 3 개인정보처리자는개인정보의파기에관한사항을기록 관리하여야한다. 4 개인정보파기의시행및확인은개인정보보호책임자의책임하에수행된다. 5 개인정보보호책임자는개인정보파기시행후파기결과를확인하여야한다. 6 개인정보처리자의개인정보파일파기에관하여는제 59 조및제 60 조를적용한다. - *. * 사례 1 보유기간이 3 년인 사고성재해집중관리, 작업환경측정비용신청현황 파일을 3 년이경과한후에도계속보관 m - 33 -

2. 2-1. m 15 ( ), 22 ( ) 16 ( ), ( ), 14, 법률 제 15 조 ( 개인정보의수집ㆍ이용 ) 1 개인정보처리자는다음각호의어느하나에해당하는경우에는개인정보를수집할수있으며그수집목적의범위에서이용할수있다. 1. 정보주체의동의를받은경우 2. 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3. 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 4. 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 5. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 6. 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우. 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다. 2 개인정보처리자는제 1 항제 1 호에따른동의를받을때에는다음각호의사항을정보주체에게알려야한다. 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다. 1. 개인정보의수집ㆍ이용목적 2. 수집하려는개인정보의항목 3. 개인정보의보유및이용기간 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 제 22 조 ( 동의를받는방법 ) 1 개인정보처리자는이법에따른개인정보의처리에대하여정보주체 ( 제 5 항에따른법정대리인을포함한다. 이하이조에서같다 ) 의동의를받을때에는각각의동의사항을구분하여정보주체가이를명확하게인지할수있도록알리고각각동의를받아야한다. 5 개인정보처리자는만 14 세미만아동의개인정보를처리하기위하여이법에따른동의를받아야할때에는그법정대리인의동의를받아야한다. 이경우법정대리인의동의를받기위하여필요한최소한의정보는법정대리인의동의없이해당아동으로부터직접수집할수있다. - 34 -

지침 제 16 조 ( 고유식별정보처리에대한동의 ) 1 개인정보처리자가법제 24 조제 1 항제 1 호에따라고유식별정보의처리를위하여정보주체에게동의를받고자하는경우에는다른개인정보와고유식별정보를구분하여고유식별정보에대하여는정보주체가별도로동의할수있도록조치를취하여야한다. 2 개인정보처리자는제 1 항에따른동의를받을때에는다음각호의사항을정보주체에게알려야한다. 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다. 1. 고유식별정보의수집 이용목적 2. 수집하려는고유식별정보의항목 3. 고유식별정보의보유및이용기간 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 -, -, DB - 14 * 사례 1 전자민원센터, 고객참여 동의거부시불이익고지누락 2 주민번호실명인증시수집목적고지누락 3 주민번호저장에대한동의누락 m - - - - 14-35 -

2-2. m 13 ( ), 지침 제 13 조 ( 동의를받는방법 ) 1 개인정보처리자는법제 15 조제 1 항제 1 호에따라개인정보의수집과이용을위하여정보주체의동의를받고자하는경우에는기본적인재화또는서비스의제공을위하여반드시필요한최소한의개인정보와부가적인재화또는서비스의제공을위하여필요한최소한의개인정보를구분하여정보주체에게알리고동의를받아야한다. -,. * 사례 m, - 36 -

2-3. m 24 ( ), 20 ( ), 법률 시행령 제 24 조 ( 고유식별정보의처리제한 ) 2 대통령령으로정하는기준에해당하는개인정보처리자는정보주체가인터넷홈페이지를통하여회원으로가입할경우주민등록번호를사용하지아니하고도회원으로가입할수있는방법을제공하여야한다. 제 20 조 ( 주민등록번호외의회원가입방법제공의무자 ) 1 법제 24 조제 2 항에따라주민등록번호를사용하지아니하고도회원으로가입할수있는방법 ( 이하 " 대체가입수단 " 이라한다 ) 을제공하여야하는개인정보처리자는다음각호의어느하나에해당하는자를말한다. 1. 공공기관 2. 공공기관외에인터넷홈페이지를운영하는개인정보처리자로서전년도말기준직전 3 개월간그인터넷홈페이지를이용한정보주체의수가하루평균 1 만명이상인개인정보처리자 2 행정안전부장관은제 1 항에따른대체가입수단제공과관련하여다음각호의사항을인터넷홈페이지에게재하여야한다. 1. 제 1 항에따라대체가입수단을제공하여야하는개인정보처리자의명칭및인터넷홈페이지주소 2. 제공할수있는대체가입수단의종류및내용 3. 대체가입수단의제공기한 - G-PIN m G-PIN 2-4. m 64 ( ) 2, - 37 -

지침 제64조 ( 개인정보파일보유기간의산정 ) 3 정책고객, 홈페이지회원등의홍보및대국민서비스목적의외부고객명부는특별한경우를제외하고는 2년을주기로정보주체의재동의절차를거쳐동의한경우에만계속적으로보유할수있다. - 2 * 사례 1 홈페이지회원 : 약 46만명 (2년경과 : 40만명 ) m 2 3. 3-1. m 26 ( ), 28 ( ) ( ), 법률 시행령 제 26 조 ( 업무위탁에따른개인정보의처리제한 ) 1 개인정보처리자가제 3 자에게개인정보의처리업무를위탁하는경우에는다음각호의내용이포함된문서에의하여야한다. 1. 위탁업무수행목적외개인정보의처리금지에관한사항 2. 개인정보의기술적ㆍ관리적보호조치에관한사항 3. 그밖에개인정보의안전한관리를위하여대통령령으로정한사항 제 28 조 ( 개인정보의처리업무위탁시조치 ) 1 법제 26 조제 1 항제 3 호에서 " 대통령령으로정한사항 " 이란다음각호의사항을말한다. 1. 위탁업무의목적및범위 2. 재위탁제한에관한사항 3. 개인정보에대한접근제한등안전성확보조치에관한사항 4. 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 5. 법제 26 조제 2 항에따른수탁자 ( 이하 " 수탁자 " 라한다 ) 가준수하여야할의무를위반한경우의손해배상등책임에관한사항 - 38 -

- 4 문서 ( 계약서등 ) 상명시사항 수행목적외개인정보의처리금지에관한사항 개인정보의기술적 관리적보호조치에관한사항 정보시스템통합유지보수 ( ) 고객만족도조사 ( ) 월간안전보건지발송 ( ) X X X X X X 위탁업무의목적및범위 O O O 재위탁제한에관한사항 O O O 개인정보에대한접근제한등안전성확보조치에관한사항개인정보의관리현황점검및수탁자소속직원의교육에관한사항수탁자가준수해야할의무를위반한경우의손해배상등의관한사항 X X X X X X O O O m - - - - 3-2. m 26 ( ), 28 ( ), - 39 -

법률 제 26 조 ( 업무위탁에따른개인정보의처리제한 ) 2 제 1 항에따라개인정보의처리업무를위탁하는개인정보처리자 ( 이하 위탁자 라한다 ) 는위탁하는업무의내용과개인정보처리업무를위탁받아처리하는자 ( 이하 수탁자 라한다 ) 를정보주체가언제든지쉽게확인할수있도록대통령령으로정하는방법에따라공개하여야한다. 3 위탁자가재화또는서비스를홍보하거나판매를권유하는업무를위탁하는경우에는대통령령으로정하는방법에따라위탁하는업무의내용과수탁자를정보주체에게알려야한다. 위탁하는업무의내용이나수탁자가변경된경우에도또한같다. 시행령 제 28 조 ( 개인정보의처리업무위탁시조치 ) 2 법제 26 조제 2 항에서 " 대통령령으로정하는방법 " 이란개인정보처리업무를위탁하는개인정보처리자 ( 이하 " 위탁자 " 라한다 ) 가위탁자의인터넷홈페이지에위탁하는업무의내용과수탁자를지속적으로게재하는방법을말한다. 3 제 2 항에따라인터넷홈페이지에게재할수없는경우에는다음각호의어느하나이상의방법으로위탁하는업무의내용과수탁자를공개하여야한다. 1. 위탁자의사업장등의보기쉬운장소에게시하는방법 2. 관보 ( 위탁자가공공기관인경우만해당한다 ) 나위탁자의사업장등이있는시 도이상의지역을주된보급지역으로하는 신문등의진흥에관한법률 제 2 조제 1 호가목 다목및같은조제 2 호에따른일반일간신문, 일반주간신문또는인터넷신문에싣는방법 3. 같은제목으로연 2 회이상발행하여정보주체에게배포하는간행물 소식지 홍보지또는청구서등에지속적으로싣는방법 4. 재화나용역을제공하기위하여위탁자와정보주체가작성한계약서등에실어정보주체에게발급하는방법 - * 사례 개인정보파일 위탁업체명 위탁내용 공개방법 홈페이지회원정보등다수 시스템유지보수 인터넷 고객만족도조사 만족도조사 미공개 안전보건월간지운영파일 배송 미공개 m - 40 -

3-3. m 26 ( ), 29 ( ), 30 ( ), 20 ( ),, 법률 시행령 지침 제 26 조 ( 업무위탁에따른개인정보의처리제한 ) 4 위탁자는업무위탁으로인하여정보주체의개인정보가분실ㆍ도난ㆍ유출ㆍ변조또는훼손되지아니하도록수탁자를교육하고, 처리현황점검등대통령령으로정하는바에따라수탁자가개인정보를안전하게처리하는지를감독하여야한다. 7 수탁자에관하여는제 15 조부터제 25 조까지, 제 27 조부터제 31 조까지, 제 33 조부터제 38 조까지및제 59 조를준용한다. 제 30 조 ( 개인정보의안전성확보조치 ) 1 개인정보처리자는법제 29 조에따라다음각호의안전성확보조치를하여야한다. 1. 개인정보의안전한처리를위한내부관리계획의수립 시행 2. 개인정보에대한접근통제및접근권한의제한조치 3. 개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 4. 개인정보침해사고발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 5. 개인정보에대한보안프로그램의설치및갱신 6. 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 제 20 조 ( 개인정보보호조치의무 ) 수탁자는위탁받은개인정보를보호하기위하여 개인정보의안전성확보조치기준고시 에따른관리적 기술적 물리적조치를한다. - ID,. * 사례 1 유지보수업체 에공용 ID 부여 2 시스템로그기록미관리 m 26 ( ), 29 ( ), 30 ( ), 20 ( ), - 41 -

- * 사례 1 월간안전보건지발송 ( ) : 매월약 5천명고객리스트파기미관리 2 고객만족도조사 ( ) : 매년 44,000여건의고객리스트파기현황미관리 3 11년고객만족도조사 ( 연구원) 약 10만명개인정보파기현황미관리 m 26 ( ), - * 사례 1 고객만족도조사의위탁업체 에교육실시여부확인불가 m ID ( ) m m 4. 4-1. CCTV m 25 ( ) 7, 25 ( ), 40 ( ),, - 42 -

법률 시행령 지침 제 25 조 ( 영상정보처리기기의설치ㆍ운영제한 ) 7 영상정보처리기기운영자는대통령령으로정하는바에따라영상정보처리기기운영ㆍ관리방침을마련하여야한다. 이경우제 30 조에따른개인정보처리방침을정하지아니할수있다. 제 25 조 ( 영상정보처리기기운영 관리방침 ) 1 영상정보처리기기운영자는법제 25 조제 7 항에따라다음각호의사항이포함된영상정보처리기기운영 관리방침을마련하여야한다. 1. 영상정보처리기기의설치근거및설치목적 2. 영상정보처리기기의설치대수, 설치위치및촬영범위 3. 관리책임자, 담당부서및영상정보에대한접근권한이있는사람 4. 영상정보의촬영시간, 보관기간, 보관장소및처리방법 5. 영상정보처리기기운영자의영상정보확인방법및장소 6. 정보주체의영상정보열람등요구에대한조치 7. 영상정보보호를위한기술적 관리적및물리적조치 8. 그밖에영상정보처리기기의설치 운영및관리에필요한사항 2 제 1 항에따라마련한영상정보처리기기운영 관리방침의공개에관하여는제 31 조제 2 항및제 3 항을준용한다. 이경우 " 개인정보처리자 " 는 " 영상정보처리기기운영자 " 로, " 법제 30 조제 2 항 " 은 " 법제 25 조제 7 항 " 으로, " 개인정보처리방침 " 은 " 영상정보처리기기관리 운영방침 " 으로본다. 제 40 조 ( 영상정보처리기기운영 관리방침 ) 1 영상정보처리기기운영 관리방침을수립하거나변경하는경우에는정보주체가쉽게확인할수있도록공개하여야한다. 2 영상정보처리기기운영 관리방침을마련한경우에는법제 30 조에따른개인정보처리방침을정하지아니하거나, 영상정보처리기기설치 운영에관한사항을법제 30 조에따른개인정보처리방침에포함하여정할수있다. - / CCTV 20 * 사례 1 지역본부 : 2 대, 지역본부 : 4 대, 지역본부 : 4 대, 지역본부 : 3 대, 지도원 : 6 대, 지도원 : 1 대 m CCTV - 43 -

4-2. CCTV m 25 ( ), 29 ( ) 30 ( ) 51 ( ),, 3, 법률 지침 제 25 조 ( 영상정보처리기기의설치ㆍ운영제한 ) 6 영상정보처리기기운영자는개인정보가분실ㆍ도난ㆍ유출ㆍ변조또는훼손되지아니하도록제 29 조에따라안전성확보에필요한조치를하여야한다. 제 51 조 ( 개인영상정보의안전성확보를위한조치 ) 영상정보처리기기운영자는개인영상정보가분실 도난 유출 변조또는훼손되지아니하도록법제 29 조및시행령제 30 조제 1 항에따라안전성확보를위하여다음각호의조치를하여야한다. 1. 개인영상정보의안전한처리를위한내부관리계획의수립 시행 2. 개인영상정보에대한접근통제및접근권한의제한조치 3. 개인영상정보를안전하게저장 전송할수있는기술의적용 ( 네트워크카메라의경우안전한전송을위한암호화조치, 개인영상정보파일저장시비밀번호설정등 ) 4. 처리기록의보관및위조 변조방지를위한조치 ( 개인영상정보의생성일시및열람할경우에열람목적 열람자 열람일시등기록 관리조치등 ) 5. 개인영상정보의안전한물리적보관을위한보관시설마련또는잠금장치설치 -,. * 사례 1 본부 : 건물관리소장이 CCTV 실제관리 m,,, - ID,. * 사례 1 본부 : ID, 패스워드없이시스템에바로접근 - 44 -

m,,, -,,, * 사례 1 본부 / 산하기관영상정보처리대장미작성 m - m CCTV m (ID, ) m 5. 5-1. K-CRM m 3 ( ),, - K-CRM DB (,, ) DB 1,113,388, -, 565,941 50.8%, - 45 -

DB 명총인원수중복이름미존재이름만존재 핵심고객 676,082 200,988 20,447 176,765 통합고객 437,306 107,049 16,263 44,429 - DB 437,306 2008 77%(335,943 ). m K-CRM -,,, 5-2. m, -. m, - 2000 33,,,, m ( ), -, (,, e-mail,,, ). - 46 -

m ( ) m m 5-3. m 34 ( ) 4,,,, 법률 제 34 조 ( 개인정보유출통지등 ) 1 개인정보처리자는개인정보가유출되었음을알게되었을때에는지체없이해당정보주체에게다음각호의사실을알려야한다. 1. 유출된개인정보의항목 2. 유출된시점과그경위 3. 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 4. 개인정보처리자의대응조치및피해구제절차 5. 정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처 2 개인정보처리자는개인정보가유출된경우그피해를최소화하기위한대책을마련하고필요한조치를하여야한다. 3 개인정보처리자는대통령령으로정한규모이상의개인정보가유출된경우에는제 1 항에따른통지및제 2 항에따른조치결과를지체없이행정안전부장관또는대통령령으로정하는전문기관에신고하여야한다. 이경우행정안전부장관또는대통령령으로정하는전문기관은피해확산방지, 피해복구등을위한기술을지원할수있다. 4 제 1 항에따른통지의시기, 방법및절차등에관하여필요한사항은대통령령으로정한다. - 47 -

-,,,,, m - 48 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원